个人信息安全规范针对三大问题出招.docVIP

个人信息安全规范针对三大问题出招 2018年1月10日，国家互联网信息办公室网络安全协调局约谈“支付宝年度账单事件”当事企业，即蚂蚁金服负责人。网络安全协调局负责人指出，支付宝、芝麻信用收集使用个人信息的方式，不符合即将于5月1日实施的“个人信息安全规范”国家标准的精神，也违背了蚂蚁金服与其他企业在2017年9月共同签署的个人信息保护倡议书的承诺。 其实，彼时“个人信息安全规范”并未正式生效，但已成为有关部门监管时的重要依据。 2017年12月，推荐性国家标准《信息安全技术个人信息安全规范》（下称《规范》）出台，将于2018年5月1日起正式实施;在更早之前的2017年6月1日，《中华人民共和国网络安全法》正式实施，其中有专门章节针对保护个人信息安全。 “在我个人看来，《规范》首先遵循了网络安全法确立的个人信息保护框架，其次也提供了遵从网络安全法关于个人信息保护要求的一个良好方案。”《规范》起草人之一、北京大学互联网发展研究中心研究主管洪延青对《周刊》记者表示，不能说如果企业的做法与《规范》不符合就一定违反了网络安全法对个人信息保护的相关要求，但如果企业按照《规范》去做，达到合规，则肯定会符合网络安全法的规定。也就是说，如果企业没有对《规范》合规，不能说其肯定触犯了网络安全法，其完全可以在《规范》之外自己制定一套符合网络安全法对个人信息保护要求的制度，但其制定成本会远远大于对《规范》合规。 《规范》对目前互联网行业取得用户个人信息时发生的“默认勾选”“最小化原则”以及“跨界融合”三大常见问题进行了详细规定，企业终于有标准可以参照了。“默认勾选”绑架用户 “支付宝年度账单事件”中比较令人关注的是涉事企业在页面中并不显眼的地方安排了“我同意《芝麻服务协议》”的选项，并且提前替用户勾选，用户如果不同意，需要再点击一下复选框。用户如果稍有疏漏，就会“被自愿”地同意该协议，存在第三方和支付宝内的个人信息便会被企业收集。 《规范》规定，有关数据控制方“在间接获取个人信息时，作为接收方的企业有义务要求提供方对相关个人信息的来源进行说明并确认其合法性，同时还应当了解个人信息主体对于提供方的授权范围，包括使用目的、个人信息主体是否授权同意转让、共享、公开披露等内容，若接收方处理个人信息超出上述范围的，还应在合理期限内另行征得个人信息主体的明示同意。”在此事件中，支付宝对用户的提示信息字体很小，并处在按钮下方易被忽略的位置，且默认勾选也远远不能算是个人信息主体的“明示同意”。 类似于“默认勾选”的“绑架”做法其实不只存在于某一家企业，其似乎是互联网行业的“顽疾”。 线上医疗企业丁香园创始人李天天曾在国外体验过一种具有自助挂号功能的?件，该软件也会让用户选择同意或不同意隐私政策，若不同意，则无法进入服务流程的下一步，也就是说无法实现自助挂号功能，线上医疗行业内部对此条款称为“知情同意”，但背后的一句话则是，“若不同意，则无法使用该服务”。也就是说，“知情同意”其实是“知情后必须同意，否则不提供服务”。值得注意的是，此种做法在目前国内的线上医疗企业中也是相当普遍，浙江省卫生信息学会秘书长倪荣曾对《中国经济周刊》记者评价说：“这种‘知情同意’其实是对消费者个人信息保护程度严重不到位的。”获取信息“最小化原则”将打倒一大片互联网企业？ 除“默认勾选”外，支付宝的做法实际上也不符合《规范》中的“最小化原则”。 所谓“最小化原则”包含数量和存储时间两个概念上的“最小化”。《规范》规定数据控制方“自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最低频率;个人信息保存期限应为实现目的所必需的最短时间”。也就是说，既然不勾选同意《芝麻服务协议》也可生成个性化年度账单，支付宝应在尽可能少量、低频收集个人信息的前提下实现账单功能，连对用户出示同意《芝麻服务协议》的选项都“多此一举”。 按照洪延青的说法，网络安全法中的正当性和必要性原则给出了一个大的框架，此为《规范》中“最小化原则”的司法背书来源。 “最小化原则”可能会“打倒一大片”互联网企业，原因在于目前不少企业所遵循的不是“最小化原则”，而是“最大化原则”。 “最小化原则肯定是法律精神，但在国内互联网企业中，之前推行的一套做法其实是严重违背这个精神的。”一位资深投资人士对《中国经济周刊》记者表达了自己的担忧，他表示，从商业利益角度出发，数据控制方只有尽可能多地获得用户海量，且类型多样的数据，才能生成最准确的用户画像，进而产生更精确的营销内容，比如“精准推送”。 然而，若企业减少收集用户个人信息的频率和数量，也缩短了存储时间，是否意味着用户所能享受到的个性化服务变得不那么“贴心”？中国政法大学知识产权研究中心特约研究员李俊慧对此持否定态度，“